EEF-CVE-2026-54892 漏洞概述 漏洞编号: CVE-2026-54892 发布日期: 2026-06-23T12:23:22Z 修改日期: 2026-06-23T12:23:24Z 严重程度: 9.7 (High) CVSS评分: CVSS:3.4/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N 摘要: 插件中嵌套查询/主体参数解码器的二次时间复杂度允许未经身份验证的远程攻击者导致拒绝服务。 详细信息: - 插件的嵌套参数解码器中的低效算法复杂度允许未经身份验证的远程攻击者导致拒绝服务。 - Plug.Conn.Query.decode/4 和 Plug.Conn.Query.decode_each/2 解析查询字符串和 application/x-www-form-urlencoded 请求主体。 - 当密钥包含许多嵌套字符串(如 a[a][a][a])时,解码器遍历括号,并对每个 N 级别执行一个映射操作,该操作基于一个不断增长的二进制前缀的哈希,每一步都散列整个字节范围。因此,总解码成本与嵌套级别的平方成正比。 - 使用默认的 Plug.Parsers.URLENCODED body 限制 1,000,000 字节,单个请求可以携带大约 333,000 个嵌套级别,并在几分钟内饱和 BEAM 调度器。少量并发请求可以饱和所有调度器并使基于 BEAM 的服务器无响应。 - 不需要身份验证或知识/访问权限。 - 此漏洞与程序文件 lib/plug/conn/query.ex 和程序例程 Plug.Conn.Query.decode/4、Plug.Conn.Query.decode_each/2、Plug.Conn.Query.split_keys/6、Plug.Conn.Query.insert_keys/3 和 Plug.Conn.Query.finalize_pointer/2 相关联。 - 此问题影响从 115.0 到 115.5、116.4、117.2、118.3 和 119.3 的插件。 影响范围 受影响版本: 115.0 到 115.5、116.4、117.2、118.3 和 119.3 修复方案 修复建议: 升级到不受影响的版本。 数据库特定信息